fbpx
13Júl, 2020
0Comments
featured-image

A Kaiji botnet hálózat Linux szervereket támad

Már rég véget értek azok az idők, amikor a Linux/Unix használók kaján vigyorral mondhatták, hogy nincs szükségük vírusirtóra, az csak a Windowsos gépekre kell. Ahogy terjednek a különféle Linux disztrók, úgy szaporodnak a kártevők is.

A Kaiji botnet az SSH gyengeségeit használja ki

Érdekes “vírusra” akadtak nem rég az Intezer alkalmazottai. Létezik egy új, KAIJI névre hallgató botnet, ami brute force módszerrel igyekszik Linuxos rendszerekhez hozzáférést nyerni SSH portokon keresztül.

Az ilyen és ehhez hasonló kártevőket általában nem a semmiből építik fel, viszont a KAIJI-t nem a feketepiacon vásárolt programkód alapból írták és nem használtak különböző ismert toolokat sem.

Konkrétan a nulláról építették fel, így nem hasonlít egyik eddig megismert kódra sem. Ezt az információt egy önjelölt fehérgalléros hekkercsoport, a MalwareMustDie is megerősítette.

A Kaiji kínai eredetű lehet – vagy az alkotói ezt akarják elhitetni

A másik szembetűnő tulajdonsága ennek a kártevőnek, hogy Go or Golang-ban írták, ami egy nem túl elterjedt viszont annál modernebb programnyelv. A kódban fonetikus kínai szavak átiratát találták, ezért arra következtetnek, hogy valószínűleg egy kínai programozó munkája lehet.

A kód nem csak rosszul védett Linux szervereket támad, hanem mindenfajta IoT eszközt is meg tud törni, amennyiben nincsen rajtuk Brute Force védelem.

A védekezés lehetséges, és viszonylag könnyű

Öröm az ürömben, hogy a Brute Force védelem elég elterjedt és elég régi technológia, tehát akik odafigyelnek rá, azok könnyen meg tudják védeni a hálózatukat/rendszerüket ettől a kártevőtől.

Viszont azon rendszerek, amelyek SSH portjait nem látták el DDoS védelemmel, könnyen bajba kerülhetnek, hiszen ez a fajta támadás csak és kizárólag a root jogosultság megszerzésére irányul, aminek köszönhetően teljes jogú hatalmat kap az áldozati gép felett.

Szerencsére a Servergarden minden védelme naprakész és emiatt az ügyfelek adatai teljes biztonságban vannak.

A KAIJI az SSH kulcsokra megy

A KAIJI további tulajdonsága, hogy ellopja az SSH kulcsokat, ebből kifolyólag pedig a továbbiakban már minden olyan géphez hozzá tud férni, amelyekhez a gyengén védett gép hozzá tudott – legyen akár azon gépeknek sokkal jobb védelmük, mint az első áldozatnak.

Ez pedig mindenképpen aggodalomra adhat okot. Elsősorban vállalatoknál használnak Linux szervereket és ez azt is jelenti, hogy elég a hálózatban vagy az ügyfelek között akár egy olyan gép, amely nincs megfelelően védve, hogy veszélybe kerüljön az egész hálózat, vagy az rendszerei.

Mint már említettük Brute Froce védelmet lehet a portokra rakni viszonylag egész egyszerűen, de egy jól megválasztott jelszó is nagyban segít abban, hogy megússzuk egy ilyen kártevőt.

Mindenképpen igyekezzük kerülni a triviális vagy vélhetően ismeretes jelszavakat és lehetőség szerint használjunk véletlen karakterekből összeállított jelszavakat!